Ny vejledning sætter fokus på at komme menneskelige fejl til livs i it-sikkerheden

12. juli 2021 kl. 12:563
Ny vejledning sætter fokus på at komme menneskelige fejl til livs i it-sikkerheden
Illustration: Rasmus Meisler.
Adfærd er et nøgleområde for at styrke it-sikkerheden i offentlige og private organisationer, lyder det fra Digitaliseringsstyrelsen og Center for Cybersikkerhed, der i sidste uge sendte en ny vejledning på gaden.
person
/stv
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
/stv

Opslag på intranettet eller printede vejledninger i tekøkkenet eller kopirummet er ikke nok, hvis man skal komme en af it-sikkerhedens giftigste modstandere til livs – de menneskelige fejl.

Den slags er nemlig blandt de mest hyppige årsager til, at ubudne gæster kommer indenfor og i værste fald bringer organisationen eller hele virksomheden i fare.

Derfor sætter en ny strategi fra Digitaliseringsstyrelsen og Center for Cybersikkerhed fokus på det menneskelige aspekt af it-sikkerheden.

»Det er ikke nok at nedskrive informationssikkerhedsretningslinjer og gøre ansatte opmærksomme på, at de er ansvarlige for at efterleve dem, for det bliver ikke nødvendigvis vekslet til reel styrket sikkerhed. En reel styrkelse af informationssikkerheden må involvere at informationssikkerhedspolitikker og –retningslinjer reelt efterleves ved at designe indsatser, der styrer ansattes adfærd i en ønskelig sikker retning,« står der således i strategien, som er målrettet CISO’er og andre medarbejdere i organisationen, der arbejder med informationssikkerhed.

Artiklen fortsætter efter annoncen
Thomas Lund-Sørensen, chef for Center for Cybersikkerhed

Truslen fortsat høj

Senest har vi herhjemme set, hvordan byggemarkedet Bauhaus er blevet lagt ned af russiske hackere, der har kompromitteret it-setup’et og tvunget virksomheden til at kæmpe for at holde gang liv i it-systemerne og ikke mindst omsætningen.

Og truslen mod danske virksomheder er da også fortsat høj, vurderer Center for Cybersikkerhed.

»Cybertruslen mod danske virksomheder og myndigheder er meget høj, og det er ikke et spørgsmål om hvorvidt, men om hvornår, man bliver ramt. Når hackerne finder en vej ind i organisationers netværk, sker det meget ofte gennem usikre passwords eller phishing. Derfor vil vi med vores nye vejledning give virksomheder og myndigheder endnu et værktøj i kassen til at forbedre arbejdet med sikkerhedsadfærd,« udtaler Thomas Lund-Sørensen, chef for Center for Cybersikkerhed i en pressemeddelelse.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Vejledningen fra Digitaliseringsstyrelsen og Center for Cybersikkerhed skal således hjælpe med at målrette indsatsen, så den løser det adfærdsproblem, som betyder, at medarbejdere fortsat falder i, når indbakken indeholder phishing-emails eller når man for lethedens skyld benytter usikre passwords.

Her er det vigtigt, ifølge vejledningen, af kende forskel på awareness og adfærd.

»Lidt forsimplet kan man sige, at det er et vidensproblem, hvis en medarbejder ikke ved, hvordan hun skal opdatere sin pc. Et problem, der handler om manglende awareness. Men hvis hun godt ved, hvordan hun opdaterer pc’en og kender deadline, men alligevel ikke får det gjort, er der tale om et adfærdsproblem. En medarbejder skal altså have erfaring med eller viden om et område for at kunne have en ønsket adfærd. Prioritering af uddannelse og træning af medarbejdere er derfor essentielt for, at viden bliver omdannet til kompetencer,« står der således i strategien.

Du kan læse hele vejledningen HER

Artiklen fortsætter efter annoncen

Har du erfaringer med forskellene på awareness og adfærd? Og hvordan griber I problemstillingen an hos jer? Del gerne dine erfaringer i kommentarsporet.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
Mogens Bluhme
13. juli 2021 kl. 19:49

I et nyere studie af Hadlington, Binder og Stanulewicz med titlen” Fear of Missing Out Predicts Employee Information Security Awareness Above Personality Traits, Age, and Gender” fandt de ud fra fra 718 deltagere at Fear of Missing Out (FoMO) er langt den største synder i forbindelse med medarbejderes omgang med IT-sikkerhed. Høj FoMO er korreleret med ringe awareness, lavt vidensniveau, negativ attitude til IT-sikkerhed og mere risikabel adfærd - langt mere betydningsfuld end køn, alder og the Big Five (de fem personlighedstræk).

Man kommer ikke uden om sociale medier, når man taler om FoMO, men det er spørgsmålet om det er en ny socialkarakter eller blot en forstærkning af det, David Riesman beskrev i Lonely Crowd i 1950.

En modbevægelse til FoMO er Joy of Missing Out (JoMO) - det er netop den engelsksprogede titel på Svend Brinkmanns bog “Gå Glip”. Det kunne være interessant at se, hvordan en uddeling af den til samtlige medarbejdere vil få af reaktioner.

  • more_vert
    • insert_linkKopier link
2
Klavs Klavsen
13. juli 2021 kl. 12:27

Jeg har haft stor success med at indføre yubikeys (istedet for kodeord) som adgangsgivende til udviklere og Google har jo bla. indført lign. keys (bare kun med HOTP -dvs. 2fa genereret af yubikeys) til login på alle websites..

Yubikeys til ssh/gpg adgang (dvs. git push, signing af git commits, login på servere osv.) er super nemt med yubikey - og er faktisk nemmere for de fleste - med "touch" slået til på yubikey, vil den bare blinke når de "vil noget" - og så rør de den og vupti de er inde uden at skulle skrive noget kodeord. Det er betydeligt sikrere (og samme model MitID vil anvende til høj-sikkerhedsmodellen som jeg forstår det de skriver) og faktisk mere brugervenligt.

Sikkerhedsprocedurer UDEN IT-understøttelse der gør det lettere, er risikofyldt - for folk finder altid en vej udenom hvis de føler det er unødigt besværligt.

Heldigvis fik de fikset nyere versioner af yubikeys, så de understøtter "masse-touch" scenarier (såsom brug til ansible eller passwordstore.org resigning) - hvor man kan touch godkende i X sekunder og undgå 100+ touches når man "lige skal udføre noget" - hvis man ikke kan undgå den slags operationer (den slags problemer har man ikke hvis man benytter Ansible-tower eller Puppet f.ex. - hvor alle changes går via GitOps princippet :)

  • more_vert
    • insert_linkKopier link
1
Claus Bobjerg Juul
12. juli 2021 kl. 22:10

Test sikkerhedsopdateringen hurtigt og tving derefter opdatering ud til alle.

Understøt forretningsgange med IT, hvor brugeren tvinges til at gøre det rigtigt.

  • more_vert
    • insert_linkKopier link